Právní předpis byl sestaven k datu 28.05.2018.
Zobrazené znění právního předpisu je účinné od 28.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
82/2018 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení aktiv §4
Řízení rizik §5
Organizační bezpečnost §6
Bezpečnostní role §7
Řízení dodavatelů §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení změn §11
Řízení přístupu §12
Akvizice, vývoj a údržba §13
Zvládání kybernetických bezpečnostních událostí a incidentů §14
Řízení kontinuity činností §15
Audit kybernetické bezpečnosti §16
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §17
Bezpečnost komunikačních sítí §18
Správa a ověřování identit §19
Řízení přístupových oprávnění §20
Ochrana před škodlivým kódem §21
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22
Detekce kybernetických bezpečnostních událostí §23
Sběr a vyhodnocování kybernetických bezpečnostních událostí §24
Aplikační bezpečnost §25
Kryptografické prostředky §26
Zajišťování úrovně dostupnosti informací §27
Průmyslové, řídicí a obdobné specifické systémy §28
Digitální služby §29
HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní politika a bezpečnostní dokumentace §30
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Kategorizace kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §35
Zrušovací ustanovení §36
Účinnost §37
Příloha č. 1 - Hodnocení aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Zranitelnosti a hrozby
Příloha č. 4 - Likvidace dat
Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace
Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy
Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů
82
XXXXXXXX
xx dne 21. xxxxxx 2018
x bezpečnostních xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxx xxx (xxxxxxxx o xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx úřad xxx xxxxxxxxxxxxx a informační xxxxxxxxxx xxxxxxx podle §28 xxxx. 2 xxxx. a) xx x) x x) xxxxxx x. 181/2014 Xx., x xxxxxxxxxxxx xxxxxxxxxxx a x xxxxx xxxxxxxxxxxxx xxxxxx (xxxxx x kybernetické xxxxxxxxxxx), xx xxxxx xxxxxx x. 104/2017 Xx. x xxxxxx x. 205/2017 Xx., (xxxx xxx "zákon"):
XXXX PRVNÍ
ÚVODNÍ USTANOVENÍ
§1
Předmět xxxxxx
Xxxx xxxxxxxx zapracovává xxxxxxxxx předpis Evropské xxxx1) a xxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, významný xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxx xxxxxxxx xxxxxx anebo xxxxxxxxxx systém xxxx xxx elektronických xxxxxxxxxx, xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, (dále xxx "xxxxxxxxxx x xxxxxxxxxxx systém") xxxxxxxx
x) xxxxx a xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) obsah x rozsah xxxxxxxxxxxxxx xxxxxxxx,
x) xxxx, kategorie x xxxxxxxxx významnosti xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx a způsob xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) náležitosti xxxxxxxx x provedení xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx,
x) xxxx xxxxxxxx xxxxxxxxxxx údajů x xxxx xxxxx a
g) xxxxxx likvidace dat, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx.
§2
Vymezení xxxxx
Xxx xxxxx xxxx vyhlášky se xxxxxx
x) administrátorem osoba xxxxxxxxxxx xxxxxx, xxxxxx, xxxxxxx, údržbu x xxxxxxxxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx riziko, xxxxx je přijatelné xxx xxxxx xxxx xxxxx, xxxxx xxxx xxxxxxx xxxxxx bezpečnostní xxxxxxxx xxxxx xxxxxx, (xxxx xxx "xxxxxxx xxxxx") x není xxxxx jej xxxxxxx xxxxxx dalších xxxxxxxxxxxxxx xxxxxxxx,
x) bezpečnostní politikou xxxxxx zásad x xxxxxxxx, které určují xxxxxx xxxxxxxxx xxxxxxx xxxxx,
x) xxxxxxxxxx xxxxx xxxxxxx xxxxxx identifikace, xxxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxx kybernetického xxxxxxxxxxxxxx incidentu, která xxxx xxxxxxxx škodu,
f) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx x xxxxxxxxxx podílející xx xx xxxxxxx, xxxxxxx, xxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxx, že xxxxxx xxxxxx xxxxxxx zranitelnosti xxxxxx a xxxxxxx xxxxx,
x) řízením rizik xxxxxxx zahrnující hodnocení xxxxx, xxxxx x xxxxxxxx xxxxxxxx xx xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx o xxxxxx x xxxxxxxxx a xxxxxxxxxxx xxxxx,
x) xxxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx xxxxxxx řízení xxxxxxx osoby xxxxxxxx xx přístupu x xxxxxxx informačního a xxxxxxxxxxxxx systému, xxxxx xxxxxxx způsob xxxxxxxx, xxxxxxxx, xxxxxxxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx informací x xxx,
x) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxxxxx prostředky x programové xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxx, xx xxxxxxx jsou xxxx xxxxxxx xxxxxxxx, xxxxxxx selhání může xxx xxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx fyzická xxxx právnická osoba xxxxx orgán xxxxxxx xxxx, xxxxx xxxxxxxxx xxxxxx,
x) vrcholovým xxxxxxx xxxxx nebo skupina xxxx, xxxxx xxxx xxxxxxxx osobu, xxxx xxxxxxxxxx orgán xxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx informačního xxxx xxxxxxxxxxxxx xxxxxxx (xxxx xxx "xxxxxxxxxxxx") x xxxxx, xxx x xxxxxxxx xxxxxx xxxxxxxx xx xxxxxxxx xxxxxx, xxxxx je xxxxxxxx x hlediska xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxx změnou xxxxx, xxxxx xx xxxx xxxx xxx xxxx xx kybernetickou xxxxxxxxxx x představuje xxxxxx xxxxxx,
x) zranitelností xxxxx místo xxxxxx xxxx slabé xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx být zneužito xxxxxx nebo xxxx xxxxxxxx.
ČÁST XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx řízení xxxxxxxxxxx informací
Povinná xxxxx x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx x xxxxxxx xx xxxxxxxxx dotčených xxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xx kterém xxxx xxxxxxxxxxx části a xxxxxx, jichž se xxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx,
x) xxxxxxx xxxx systému řízení xxxxxxxxxxx xxxxxxxxx,
x) pro xxxxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací xx xxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx potřeb x xxxxxxxxx rizik xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) řídí rizika xxxxx §5,
e) vytvoří x xxxxxxx bezpečnostní xxxxxxxx v xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, která xxxxxxxx xxxxxx zásady, cíle, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx xx xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx, x xx xxxxxxx bezpečnostních xxxxxx x xxxxxxxx xxxxxxxxx xxxxx stanoví xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §30 a zavede xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx provedení auditu xxxxxxxxxxxx bezpečnosti u xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx (dále xxx "xxxxx kybernetické xxxxxxxxxxx") xxxxx §16,
x) zajistí xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx revize xxxxxxxxx xxxxx, posouzení výsledků xxxxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) průběžně xxxxxxxxxxxx a xxxxxxxx xxxxx §11 řídí xxxxxxxx xxxxx, které xxxxx do rozsahu xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxxxx xxxxxx xxxxxx bezpečnosti xxxxxxxxx x příslušnou xxxxxxxxxxx xx xxxxxxx zjištění xxxxxx kybernetické xxxxxxxxxxx, xxxxxxxx vyhodnocení xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxxx a
j) xxxx xxxxxx x xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a xxxxxxxxxxx xxxxxxxx xxxxxxx xx xxxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx.
§4
Xxxxxx aktiv
(1) Xxxxxxx xxxxx x xxxxx xxxxxx aktiv
a) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) stanoví xxxxxxxx xxx hodnocení aktiv xxxxxxx v xxxxxxx xxxxxxxx v příloze č. 1 x xxxx xxxxxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxx,
x) xxxx x xxxxxxx garanty aktiv,
e) xxxxxxx a xxxxxxx xxxxxxxx xxxxxx z xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x xxxxxx xx xx xxxxxxxxxxxx úrovní xxxxx xxxxxxx x),
x) určí x eviduje xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx aktivy x xxxxxxx důsledky xxxxxxxxxx xxxx xxxxxxxxxx x xxxxxxxxxx aktivy,
g) xxxxxxx xxxxxxxx aktiva a xxxxxxxxxx xxxxxx zejména xxxxxxxx xxxxxxxxxx xxxxx xxxxxxx f),
h) xx xxxxxxx xxxxxxxxx aktiv xxxxxxxxx x xxxxxx xxxxxxxx xxxxxxx xxxxx xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx aktiv,
i) xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx a xxxxxxxx xxx xxxxxxxxxx s xxxxxx s xxxxxxx xx xxxxxx xxxxx, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx sdílení x xxxxxxx xxxxxxxxx xxxxx, x
x) určí xxxxxx likvidace dat, xxxxxxxxxx údajů, xxxxxxxxx x xxxxxx xxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx dat x xxxxxxx na úroveň xxxxx v souladu x přílohou č. 4 x xxxx vyhlášce.
(2) Při xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx je xxxxx xxxxxxxx alespoň
a) rozsah x xxxxxxxxxx xxxxxxxx xxxxx, zvláštních xxxxxxxxx xxxxxxxx xxxxx nebo xxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxx závazků,
c) xxxxxx xxxxxxxx vnitřních xxxxxxxx x kontrolních xxxxxxxx,
x) poškození xxxxxxxxx, xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxx a xxxxx xxxxxxxx xxxxxx,
x) xxxxxx xx xxxxxxxxxxx důležitých xxxxxx,
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx,
x) xxxxxx xx xxxxxxxxx xxxxxxx xxxxx xxxx ochranu xxxxx pověsti,
h) dopady xx bezpečnost x xxxxxx xxxx,
x) dopady xx xxxxxxxxxxx xxxxxx x
x) dopady na xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
§5
Xxxxxx xxxxx
(1) Xxxxxxx xxxxx x rámci xxxxxx xxxxx x xxxxxxxxxx xx §4
x) xxxxxxx xxxxxxxx xxx xxxxxxxxx rizik, xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxxxxx xxxxx,
x) s xxxxxxx xx aktiva xxxxxxxxxxxx xxxxxxxxxx hrozby x xxxxxxxxxxxxx; xxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxx x zranitelností xxxxxxxxx x příloze č. 3 x této xxxxxxxx,
x) xxxxxxx xxxxxxxxx rizik x pravidelných xxxxxxxxxxx xxxxx odstavce 2 x při xxxxxxxxxx xxxxxxx,
x) při xxxxxxxxx xxxxx xxxxxxxx relevantní xxxxxx x xxxxxxxxxxxxx x xxxxxxx možné xxxxxx na xxxxxx; xxxx xxxxxx xxxxxxx xxxxxxx x xxxxxxx přílohy č. 2 x xxxx xxxxxxxx,
x) xxxxxxxx xxxxxx x xxxxxxxxx xxxxx,
x) xxxxxxxx xx základě xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx o xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx, která
1. xxxxxx xxxxxxxxxx, xxxxxx xxxxxxxxxx,
2. xxxx aplikována, xxxxxx xxxxxxx plnění,
g) xxxxxxxx x zavede xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxx, určení xxxxx zajišťující prosazování xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx zdroje, xxxxxx xxxxxx zavedení, xxxxx xxxxx xxxx xxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxx xxxxxxxxx bezpečnostních xxxxxxxx,
x) xxx xxxxxxxxx xxxxx x x xxxxx zvládání xxxxx xxxxxxxx
1. xxxxxxxx xxxxx,
2. xxxxx xxxxxxx xxxxxxx xxxxxx bezpečnosti informací,
3. xxxxxxxx xxxxx §11 xxxxxx a
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxx xxxxxxxx, x
x) x xxxxxxx x xxxxxx zvládání xxxxx xxxxxx bezpečnostní xxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x x) zákona provádí xxxxxxxxx xxxxx xxxxxxx xxxxxx ročně a xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) zákona xxxxxxx xxxxxx za xxx xxxx.
(3) Řízení xxxxx xxxx být xxxxxxxxx x xxxxxx xxxxxxx, xxx xxx je xxxxxxxxx x odstavci 1 xxxx. d), xxxxx xxxxxxx xxxxx xxxxxxxxx, že xxxxxxx xxxxxxxx xxxxxxx stejnou xxxx vyšší úroveň xxxxxxx xxxxxx rizik.
§6
Xxxxxxxxxxx bezpečnost
(1) Xxxxxxx xxxxx x ohledem xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) zajistí xxxxxxxxx xxxxxxxxxxxx politiky x cílů xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx §3 slučitelných xx xxxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx pro xxxxxx xxxxxx bezpečnosti informací,
d) xxxxxxxxx xxxxxxxxxxx x xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx shody x xxxx požadavky xx xxxxx dotčenými xxxxxxxx,
x) zajistí xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx řízení xxxxxxxxxxx informací,
f) vede xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxxxx xx při xxxxx rozvíjení,
g) xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx osoby zastávající xxxxxxxxxxxx role při xxxxxxxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxx jejich xxxxxxxxxxxx,
x) zajistí xxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx x xxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxxx, xxx xxxx zachována xxxxxxxxxxx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxx xxxxx xxxxxxxxxxx bezpečnostní xxxx xxxxxxx příslušné xxxxxxxxx x xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxx k xxxxxxxxxx jejich rolí x plnění xxxxxxxxxxxxx xxxxx x
x) xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx, xxxxxx x xxxxxxx xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
(2) Povinná xxxxx x rámci xxxxxxx xxxxxx bezpečnosti informací xxxx složení xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxxxxxxxxx xxxx x jejich xxxxx x xxxxxxxxxx xxxxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxx informací.
(3) Xxxxxxx osoba uvedená x §3 xxxx. x), x) x x) xxxxxx xxxx xxxxx, která xxxx xxxxxxxx bezpečnostní xxxx
x) xxxxxxxx kybernetické bezpečnosti,
b) xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxx x
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx xxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxx. Ostatní bezpečnostní xxxx podle odstavce 3 určí xxxxxxxxx xxxxxxxx k rozsahu x xxxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx.
(5) Xxxxxxx osoba uvedená x §3 xxxx. x), x) a x) xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxx xxxxxxxxx x odstavci 3 xxxx. x) x b).
(6) Xxxxxxx xxxxx xxxxxxx v §3 písm. x) xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxxxx bezpečnosti.
(7) Výbor xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxx xxxxxxx x příslušnými xxxxxxxxxxx a odbornou xxxxxxxxxxxx xxx xxxxxxx xxxxxx a xxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx a osobami xxxxxxxx xx xxxxxxxxxxxx xx xxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx bezpečností, xxxxx xxxxxx xxxx xxx alespoň jeden xxxxxxxx xxxxxxxxxxx xxxxxx xxxx jím xxxxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxx xxxxx x výboru xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx uvedeným v příloze č. 6 k této xxxxxxxx.
§7
Xxxxxxxxxxxx role
(1) Xxxxxxx xxxxxxxxxxxx bezpečnosti
a) je xxxxxxxxxxxx role odpovědná xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, přičemž xxxxxxx xxxx role xxxx být xxxxxxxx xxxxx, která xx xxx tuto xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx praxí x řízením kybernetické xxxxxxxxxxx nebo s xxxxxxx bezpečnosti informací
1. xx dobu nejméně xxx xxx, xxxx
2. xx xxxx jednoho xxxx, pokud absolvovala xxxxxxx na xxxxxx xxxxx,
x) xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxx o
1. činnostech xxxxxxxxxxxxx x rozsahu xxxx odpovědnosti a
2. xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a
c) xxxxx xxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxxxx xxxxxxxxxxxx bezpečnosti xx xxxxxxxxxxxx role xxxxxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx xxx, xxx xxxx zajištěna bezpečná xxxxxxxxxxxx informačního x xxxxxxxxxxxxx systému, xxxxxxx xxxxxxx xxxx xxxx xxxx xxx xxxxxxxx xxxxx, xxxxx xx xxx xxxx činnost xxxxxxxxx x prokáže xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx opatření x xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxx nejméně xxx xxx, xxxx
x) xx xxxx xxxxxxx xxxx, xxxxx absolvovala xxxxxxx na xxxxxx xxxxx.
(3) Xxxxxx aktiva xx xxxxxxxxxxxx xxxx xxxxxxxxx za zajištění xxxxxxx, použití a xxxxxxxxxx xxxxxx.
(4) Xxxxxxx xxxxxxxxxxxx bezpečnosti
a) xx xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx této xxxx xxxx xxx pověřena xxxxx, která je xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x prováděním auditů xxxxxxxxxxxx xxxxxxxxxxx nebo xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xx xxxx xxxxxxx xxx xxx, nebo
2. po xxxx xxxxxxx xxxx, xxxxx absolvovala xxxxxxx xx xxxxxx xxxxx,
x) xxxxxxxx, xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx nestranné, a
c) xxxxx být pověřen xxxxxxx xxxxxx bezpečnostních xxxx.
(5) Povinná xxxxx xxx určování xxxx xxxxxxxxxxxxx bezpečnostní xxxx xxxxxxxxx x doporučením xxxxxxxx x příloze č. 6 x této vyhlášce.
§8
Řízení dodavatelů
(1) Povinná xxxxx
x) xxxxxxx pravidla xxx dodavatele, která xxxxxxxxxx xxxxxxxxx systému xxxxxx xxxxxxxxxxx informací,
b) xxxx xxxxxxxx xxxxx xxxxxxxxxx dodavatelů,
c) xxxxxxxxxxxx xxxxxxx xxxxxxxxx xxx xxxxxxxx xxxxxxxxxx x xxxxxx xxxxxxxx xxxxx xxxxxxx x),
x) seznamuje xxx xxxxxxxxxx x xxxxxxxx xxxxx xxxxxxx x) a xxxxxxxx xxxxxx xxxxxx xxxxxxxx,
x) xxxx xxxxxx xxxxxxx x xxxxxxxxxx,
x) v xxxxxxxxxxx x xxxxxxx xxxxx spojených x xxxxxxxxxx xxxxxxxxxx xxxxxxx, xxx smlouvy xxxxxxxxx x významnými dodavateli xxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx v příloze č. 7 x xxxx xxxxxxxx, x
x) xxxxxxxxxx xxxxxxxxxxx xxxxxx smluv x xxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx u xxxxxxxxxx xxxxxxxxxx xxxx
x) x xxxxx xxxxxxxxxx řízení x před xxxxxxxxx xxxxxxx provádí hodnocení xxxxx xxxxxxxxxxxxx x xxxxxxx předmětu xxxxxxxxxx xxxxxx xxxxxxxxx xxxxx přílohy č. 2 x xxxx xxxxxxxx,
x) x rámci xxxxxxxxxxx xxxxxxxxx vztahů xxxxxxx xxxxxxx a xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx x xxxx xxxxx vzájemné xxxxxxx xxxxxxxxxxxx za xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) provádí pravidelné xxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx opatření u xxxxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxx xxxx xxxxxx xxxxx xxxxxx x
x) v xxxxxx xx rizika x xxxxxxxx xxxxxxxxxx zajistí xxxxxx xxxxxx.
(3) Xxxxxxxxxxx xxxxxxxxxxxxxx informování xxxxx xxxxxxxx 1 xxxx. x) xxxx
x) xxxxxxxxxxxx xxxxxxx nebo xxxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx,
x) vyrozumění x skutečnosti, že xxxxxxxxx xx pro xxxxxxx xxxxxxxxx xxxxxxxxxxx, x popřípadě také x tom, xx xxxxxxxx dodavatel xx xxxxxxx xxxxxxxxxxxxxx, x
x) xxxxx pravidel podle xxxxxxxx 1 xxxx. x).
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. c) až x) xxxxxx, která xx xxxxxxxxxxxxxx x xxxx prokazatelně xxxxxxxxxxx xxxxx odstavce 1 xxxx. x), xxxxx xxxxxxxxx údaje xxxxxx xxxxxxxx x §34.
§9
Bezpečnost xxxxxxxx xxxxxx
(1) Xxxxxxx osoba x xxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx
x) x xxxxxxx na stav x xxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx xxxxxxx xxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx, jehož xxxxx je xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxxxx bezpečnostního xxxxxxxx x xxxxx xxxxxxxx xxxxx, obsah x xxxxxx
1. poučení xxxxxxxxx, xxxxxxxxxxxxxx, osob xxxxxxxxxxxxx xxxxxxxxxxxx role x xxxxxxxxxx x xxxxxx xxxxxxxxxxxx x o xxxxxxxxxxxx xxxxxxxx x
2. xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx školení uživatelů, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxx xxxxx xxxxxxxxx xx realizaci jednotlivých xxxxxxxx, které jsou x xxxxx uvedeny,
c) x xxxxxxx s xxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx, administrátorů, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role x xxxxxxxxxx x xxxxxx povinnostech a x xxxxxxxxxxxx xxxxxxxx xxxxxx vstupních x xxxxxxxxxxxx xxxxxxx,
x) pro xxxxx xxxxxxxxxxx bezpečnostní xxxx x xxxxxxx x xxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx odborná xxxxxxx, xxxxxxx xxxxxxx z xxxxxxxxxx xxxxxx xxxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx bezpečnosti,
e) x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx povědomí xxxxxxx pravidelné xxxxxxx x ověřování xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx v xxxxxxx s jejich xxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx zastávajících xxxxxxxxxxxx xxxx,
x) x případě xxxxxxxx xxxxxxxxx vztahu x xxxxxxxxxxxxxx x xxxxxxx zastávajícími xxxxxxxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx školení x xxxxxxx xxxxxxxx xxxxxxxxx se xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
x) xxxx pravidla a xxxxxxx xxx xxxxxx xxxxxxx porušení stanovených xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx uživatelů, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Povinná xxxxx xxxx x xxxxxxx xxxxx xxxxxxxx 1 přehledy, xxxxx xxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxx, xxxxx xxxxxxx absolvovaly.
§10
Řízení xxxxxxx x xxxxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxxx bezpečný xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx, xxxxx xxxxxxxx xxxxxxx
x) xxxxx a xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxx x xxxxxxxx xxxxx systému, xxx restart xxxx xxxxxxxx xxxxx xxxxxxx xx xxxxxxx a xxx xxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxx xxx xxxxxxx přístupu x záznamům x xxxxxx xxxxxxxxxx,
x) xxxxxxxx x xxxxxxx pro xxxxxxx před xxxxxxxxx xxxxx,
x) řízení xxxxxxxxxxx xxxxxxxxxxxxx,
x) spojení na xxxxxxxxx xxxxx, xxxxx xxxx pověřeny xxxxxxx xxxxxxxxx a xxxxxxxxx xxxxxxx,
x) xxxxxxx řízení x schvalování xxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxxx, plánování a xxxxxx xxxxxxxx lidských x technických xxxxxx,
x) xxxxxxxx a xxxxxxx xxx ochranu informací x dat v xxxxxxx xxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxx a xxxxxxx xxx instalaci xxxxxxxxxxx aktiv,
k) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxx použitelnosti xxxxxxxxxxx xxxxx x
x) xxxxxxxx x xxxxxxx pro xxxxxxxxx bezpečnosti síťových xxxxxx.
(2) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 a xxxx xxxxxxxx a xxxxxxx xxxxxxxxxxx x xxxxxxxxxxx x xxxxxxxxxxx xxxx plánovanými změnami.
(3) Xxxxxxx osoba xxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxx prostředí.
§11
Xxxxxx změn
(1) Xxxxxxx xxxxx v xxxxx xxxxxx xxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) přezkoumává xxxxx xxxxxx změn x
x) xxxxxx xxxxxxxx xxxxx.
(2) Xxxxxxx xxxxx x xxxxxxxxxx změn
a) xxxxxxxxxxx xxxxxx řízení,
b) xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxx za xxxxxx xxxxxxx všech xxxxxxxxxxxx xxxxxx xxxxxxxxx s xxxxxxxxxx xxxxxxx,
x) aktualizuje xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx dokumentaci,
e) xxxxxxx xxxxxx testování x
x) xxxxxxx xxxxxxx xxxxxxxxx xx xxxxxxxxx stavu.
(3) Xxxxxxx osoba uvedená x §3 xxxx. x), x) x x) xxxxxx na xxxxxxx xxxxxxxx xxxxxxx xxxxx xxxxx odstavce 2 xxxx. b) xxxxxxxxx x provedení xxxxxxxxxxxx xxxxxxxxx nebo xxxxxxxxx xxxxxxxxxxxxx; xxxxx xxxxxxxx x provedení xxxxxxxxxxxx testování xxxx xxxxxxxxx zranitelností, xxxxxxxxx xxxxx §25 odst. 1 x reaguje xx zjištěné nedostatky.
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx se xxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxxxxxxx.
§12
Xxxxxx přístupu
(1) Xxxxxxx xxxxx xx xxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx, xxxxx xxxxxx x zajištění xxxxxxx údajů, xxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx podle §19 x 20, x xxxxx brání ve xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx osobou.
(2) Povinná xxxxx dále x xxxxx xxxxxx přístupu x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxxx na xxxxxxx xxxxxx x xxxx,
x) xxxxxxx každému xxxxxxxxx x administrátorovi xxxxxxxxxxxxxx x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxx x xxxxxxxxx x jedinečný identifikátor,
c) xxxx identifikátory, xxxxxxxxxx xxxxx x oprávnění xxxxxxxx a xxxxxxxxxxx xxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxx zařízení k xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
e) xxxxxx xxxxxxxxxxxx xxxxxxxx potřebná xxx bezpečné xxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxxxxx zařízení, xxxxxxxxx x xxxxxxxxxxxx xxxxxxxx spojená s xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx osoba xxxx ve xxx xxxxxx,
x) omezí přidělování xxxxxxxxxxxxxxx oprávnění na xxxxxx nezbytně xxxxxx x výkonu náplně xxxxx,
x) omezí x xxxxxxxxxx používání xxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx xxxx aplikační xxxxxxxx,
x) přiděluje a xxxxxxx xxxxxxxxxx oprávnění x souladu x xxxxxxxxx xxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx veškerých přístupových xxxxxxxxx xxxxxx rozdělení xx xxxxxxxxxxxx xxxxxx x xxxx,
x) xxxxxxx xxxxxxx pro xxxxxx x ověřování xxxxxxxx xxxxx §19 x xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §20,
x) xxxxxxxxx, xxx xxxxxxxxx xxx používání xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx změně xxxxxx xxxx zařazení xxxxxxxxx, xxxxxxxxxxxxxx xxxx osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxxx odebrání nebo xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx nebo xxxxx xxxxxxxxx xxxxxx x
x) dokumentuje xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx.
§13
Akvizice, xxxxx x xxxxxx
Xxxxxxx xxxxx x xxxxxxxxxxx x plánovanou xxxxxxxx, vývojem x xxxxxxx informačního a xxxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxx xxxxx §5,
x) xxxx xxxxxxxx xxxxx xxxxx §11,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxxx požadavky xx xxxxxxxx xxxxxxxx, xxxxxx x xxxxxx,
x) zajistí xxxxxxxxxx vývojového a xxxxxxxxxxx xxxxxxxxx x xxxxxxx ochranu používaných xxxxxxxxxxx xxx,
x) xxxxxxx xxxxxxxxxxxx testování významných xxxx před xxxxxx xxxxxxxxx do xxxxxxx x
x) xxxx xxxxxxxxx xxxxx §19 xxxx. 3, je-li xxxxx xxxxxxxxx xxxxxxxx xxxx xxxxxx xxxxxxx pro xxxxxx a xxxxxxxxx xxxxxxxx.
§14
Zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
(1) Xxxxxxx xxxxx v xxxxx zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) přidělí xxxxxxxxxxxx a xxxxxxx xxxxxxx pro
1. detekci x xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx x
2. koordinaci x zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx x xxxxxxxx xxxxxxx xxx xxxxxxxxxxxx, xxxx, xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) zajistí xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí xx xxxx xxxx §22 x 23,
f) xxxxxxx, xx uživatelé, xxxxxxxxxxxxxx, xxxxx xxxxxxxxxxx xxxxxxxxxxxx role, xxxxx xxxxxxxxxxx x dodavatelé xxxxx xxxxxxxxx xxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx systému x xxxxxxxxx xx jakékoliv xxxxxxxxxxxxx,
x) zajistí xxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí, xxx xxxxxx xxxx xxx rozhodnuto, xxx xxxx být klasifikovány xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §31,
h) xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxx,
x) přijímá xxxxxxxx xxx xxxxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx podle §32,
x) xxxx záznamy x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx x x xxxxxx xxxxxxxx,
x) xxxxxxxx x xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x
x) xxxxxxxxx účinnost řešení xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx x xx základě xxxxxxxxxxx xxxxxxx nutná xxxxxxxxxxxx opatření, xxxxxxxxx xxxxxxxxxxx xxxxxxxxx bezpečnostní xxxxxxxx x zamezení xxxxxxxxx xxxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) a x) xxxxxx dále při xxxxxxx kybernetických bezpečnostních xxxxxxxx xxxxxxx nástroj xxxxx §24.
§15
Xxxxxx kontinuity xxxxxxxx
Xxxxxxx xxxxx x xxxxx xxxxxx xxxxxxxxxx xxxxxxxx
x) xxxxxxx práva x xxxxxxxxxx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) pomocí xxxxxxxxx xxxxx x xxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x posoudí možná xxxxxx související x xxxxxxxxx kontinuity xxxxxxxx,
x) xx základě xxxxxxx xxxxxxxxx xxxxx x xxxxxxx xxxxxx podle xxxxxxx b) xxxxxxx xxxx xxxxxx kontinuity xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, která xx xxxxxxxxxx xxx xxxxxxx, xxxxxx x xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
2. doby xxxxxxxx xxxxx, xxxxx xxxxx xxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx úroveň xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, x
3. xxxx obnovení xxx xxxx xxxxxx xxxxxx, xx xxxxx xxxx xxx xxxxxx xxxxxxxx xxxx po kybernetickém xxxxxxxxxxxxx xxxxxxxxx nebo xx selhání,
d) xxxxxxx xxxxxxxx řízení xxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx c),
e) xxxxxxxxx, xxxxxxxxxxx a xxxxxxxxxx xxxxxxx plány kontinuity xxxxxxxx a havarijní xxxxx xxxxxxxxxxx s xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxxxxxxxx služeb x
x) xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx a omezením xxxxxxxxxxx x vychází xxx tom x xxxxxxxxx xxxxx §27.
§16
Xxxxx kybernetické bezpečnosti
(1) Xxxxxxx osoba x xxxxx auditu kybernetické xxxxxxxxxxx
x) xxxxxxx x xxxxxxxxxxx xxxxx dodržování xxxxxxxxxxxx politiky, xxxxxx xxxxxxxxxxx technické xxxxx, x výsledky xxxxxx xxxxxxxx v xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x plánu xxxxxxxx xxxxx x
x) xxxxxxxx xxxxxx xxxxxxxxxxxxxx opatření x xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx, jinými xxxxxxxx x smluvními xxxxxxx xxxxxxxxxxxx xx x xxxxxxxxxxxx a komunikačnímu xxxxxxx a xxxx xxxxxxxx xxxxxxxx xxxxxxxx xxx zajištění xxxxxxx.
(2) Xxxxx xxxxx odstavce 1 xx xxxxxxxx
x) xxx xxxxxxxxxx xxxxxxx, x xxxxx xxxxxx xxxxxxx,
x) v xxxxxxxxxxxx xxxxxxxxxxx alespoň xx 3 xxxxxx x xxxxxxx xxxxxxx xxxxx xxxxxxx x §3 xxxx. e) xxxxxx x
x) x xxxxxxxxxxxx xxxxxxxxxxx alespoň xx 2 xxxxxx v xxxxxxx povinné osoby xxxxxxxxx x písmenu x).
(3) Xxxx-xx v xxxxxxxxxxxx xxxxxxxxx možné xxxxxxx xxxxx x xxxxxxxxxxx xxxxx xxxxxxxx 2 písm. x) x x) x xxxxx xxxxxxx, xx xxxxx xxxxx provádět xxxxxxxx po xxxxxxxxxxxxxx xxxxxxx. V takovém xxxxxxx xx xxxxx xxxxx v celém xxxxxxx xxxxxxx xxxxxxxxxx xx 5 let.
(4) Xxxxx kybernetické xxxxxxxxxxx xxxx xxx xxxxxxxx xxxxxx xxxxxxxxxx podmínkám xxxxxxxxxx x §7 xxxx. 4, která xxxxxxxxx xxxxxxx správnost x xxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx.
(5) Povinná xxxxx, která xx xxxxxxxx xxxxxxxxxxxxxx, předkládá xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx správci xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
XXXXX II
TECHNICKÁ XXXXXXXX
§17
Xxxxxxx xxxxxxxxxx
Xxxxxxx xxxxx x xxxxx fyzické xxxxxxxxxxx
x) xxxxxxxxx poškození, xxxxxxx xxxx xxxxxxxx xxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx informačního x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxx, xx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxxxx informace x xxxxxxxx xxxxxxxxx xxxxxx informačního x xxxxxxxxxxxxx xxxxxxx, x
x) x fyzického bezpečnostního xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx x) přijme xxxxxxxx opatření a xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx
1. k zamezení xxxxxxxxxxxxx xxxxxx,
2. x xxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x
3. xxx xxxxxxxxx xxxxxxx xx úrovni xxxxxxx x x xxxxx xxxxxxx.
§18
Xxxxxxxxxx xxxxxxxxxxxxx sítí
Povinná xxxxx xxx ochranu xxxxxxxxxxx komunikační xxxx xxxxxxxx v rozsahu xxxxx §3 xxxx. x)
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx sítě,
b) xxxxxxx xxxxxx xxxxxxxxxx x xxxxx xxxxxxxxxxx xxxx x perimetru komunikační xxxx,
x) pomocí xxxxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxx xxx xxx xxxxxxxxx přístupu, xxxxxxxx xxxxxx nebo xxx xxxxxxxx do komunikační xxxx xxxxxx bezdrátových xxxxxxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxx x
x) xxx zajištění xxxxxxxxxx xxxx a xxx xxxxxx komunikace xxxx xxxxxx xxxxxxxx využívá xxxxxxx, xxxxx xxxxxxx xxxxxxx integrity xxxxxxxxxxx xxxx.
§19
Xxxxxx x xxxxxxxxx xxxxxxx
(1) Povinná xxxxx xxxxxxx xxxxxxx xxx xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx pro xxxxxx x ověření xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxxxx
x) ověření xxxxxxxx před xxxxxxxxx xxxxxxx x informačním x komunikačním xxxxxxx,
x) xxxxxx xxxxx možných xxxxxxxxxxx pokusů x xxxxxxxxxx,
x) odolnost xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxxx neoprávněnému xxxxxxxx x xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxxxx xxxxx xx xxxxx xxxxxx xxxxx offline útokům,
e) xxxxxxxx ověření xxxxxxxx xx určené době xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxx xxxxxx přístupu a
g) xxxxxxxxxxxxxxx xxxxxx xxxxxxx.
(3) Xxxxxxx osoba xxx xxxxxxx xxxxxxxx uživatelů, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx není xxxxxxxx xxxxx na xxxxxxx xxxxxxxxxxxxxx xxxx a xxxxx, nýbrž na xxxxxxxxxxxxx autentizaci s xxxxxxx dvěma xxxxxxx xxxx faktorů.
(4) Xx xxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx nástroj xxx xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx.
(5) Xx xxxx xxxxxxx požadavků podle xxxxxxxx 3 xxxx 4 xxxx xxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxx, xxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxx x xxxxx, xxxxxxxxx pravidla
a) délky xxxxx xxxxxxx
1. 12 xxxxx x uživatelů x
2. 17 xxxxx x administrátorů x xxxxxxxx,
x) xxxxxxxxxx zadat xxxxx x xxxxx xxxxxxx 64 xxxxx,
x) xxxxxxxxxxx xxxxxxx xxxxxx x xxxxxxx xxxxxx, xxxxxx x xxxxxxxxxxx xxxxx,
x) umožňující xxxxxxxxxx xxxxx xxxxx, xxxxxxx xxxxxx mezi xxxxx xxxxxxx xxxxx xxxxx xxx kratší xxx 30 xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxx x administrátorům
1. xxxxxx si xxxxxxxxxx xxxxxxxxx hesla,
2. xxxxxx xxxxx xx základě xxxxxxxxxxxx opakujících se xxxxx, xxxxxxxxxxxxxx xxxxx, x-xxxxx, názvu systému xxxx xxxxxxxx xxxxxxxx x
3. xxxxxxxx xxxxxxx xxxxx xxxxxxxxxxx xxxxx x pamětí alespoň 12 xxxxxxxxxxx hesel x
x) pro xxxxxxxx xxxxx hesla v xxxxxxxxx xxxxxxxxx po 18 měsících, xxxxxxx xxxx xxxxxxxx xx xxxxxxxxxx na účty xxxxxxxx x xxxxxx xxxxxxx x případě xxxxxxx.
(6) Povinná osoba x případě xxxxxxxxx xxxxxxxxxxx xxxxx účtem x xxxxxx dále
a) xxxxxx xxxxxxxxxxxx změnu xxxxxxxxx hesla po xxxx xxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx heslo xxxxxxxx k xxxxxxxx xxxxxxxx xx xxxx xxxxxx xxxxxxx xxxx xxxxxxxxx xxxxxxx 60 xxxxx xx xxxx xxxxxxxxx x
x) xxxxxxx xxxxxx xxxxxxxx tvorby xxxxxxxxxx xxxxx do xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx xxxxx §9.
§20
Xxxxxx přístupových xxxxxxxxx
Xxxxxxx xxxxx xxxxxxx centralizovaný xxxxxxx xxx xxxxxx xxxxxxxxxxxx oprávnění, xxxxxx xxxxxxx xxxxxx xxxxxxxxx
x) xxx xxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) pro xxxxx xxx, xxxxx xxx x xxxxx xxxxxxxxx.
§21
Ochrana xxxx škodlivým xxxxx
(1) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx x xxxxx ochrany xxxx xxxxxxxxx xxxxx
x) x xxxxxxx xx xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx
1. xxxxxxxxx xxxxxx,
2. xxxxxxxxx xxxxxxxx,
3. xxxxxxx,
4. datových xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
5. xxxxxxxxxxx xxxx x xxxxx xxxxxxxxxxx sítě a
6. xxxxxxxxx xxxxxxxx,
x) monitoruje x xxxx používání xxxxxxxxx xxxxxxxx x xxxxxxxx nosičů,
c) řídí xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxx nosičů,
d) xxxx xxxxxxxxx xx xxxxxxxxx xxxx a
e) xxxxxxx xxxxxxxxxxx a xxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxx škodlivým xxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxxxxxx podle xxxxxxxx 1 xxxxxxxxx.
§22
Zaznamenávání událostí xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, xxxx uživatelů x xxxxxxxxxxxxxx
(1) Povinná xxxxx
x) xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx provozní události xxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) xx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxx rozsah xxxxx, x xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxx prováděno.
(2) Xxxxxxx xxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx 1 zajišťuje
a) xxxxxxxxxxxx síťovou identifikaci xxxxxxxx xxxxxxx, je-li x komunikační síti xxxxxx nástroj, xxxxx xxxx xxxx síťovou xxxxxxxxxxxx,
x) xxxx xxxxxxxxx x xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx; xxxxxxx xxxxxxxxxxx
1. xxxxx x xxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxx,
2. xxx xxxxxxxx,
3. xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, xxxxx xxxxxxx xxxxxxxxxxx,
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxx xxxxxx xxxx xxxxxxx xxxxxxxxx,
5. xxxxxxxxxxxx síťovou xxxxxxxxxxxx xxxxxxxx xxxxxxx x
6. xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx,
x) ochranu xxxxxxxxx xxxxxxxxx xxxxx xxxxxx x) x b) xxxx xxxxxxxxxxxx xxxxxx x xxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxx
1. xxxxxxxxxxxx x xxxxxxxxxxx xx xxxx xxxxx, x xx xxxxxx neúspěšných xxxxxx,
2. xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx,
3. xxxxxxx x xxxxxxxxx xxxxxxxxxx x xxxx, xxxxxxxxxxx x právy,
4. xxxxxxxxxxx xxxxxxxx x xxxxxxxx nedostatku xxxxxxxxxxxx xxxx a oprávnění,
5. xxxxxxxx xxxxxxxxx, xxxxx xxxxx xxx vliv xx xxxxxxxxxx informačního x xxxxxxxxxxxxx systému,
6. xxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx,
7. xxxxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx x
8. xxxxxxxx x xxxxxxxx x xxxxxxxxxx, xxxxxx o xxxxxxxxxx xx záznamy o xxxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx pro xxxxxxxxxxxxx událostí x
x) xxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxxx xx 24 xxxxx.
(3) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x f) xxxxxx xxxxxxxx záznamy xxxxxxxx xxxxxxxxxxxxx podle odstavce 2 xxxxxxx po xxxx 18 měsíců.
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) zákona uchovává xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx odstavce 2 xxxxxxx po dobu 12 měsíců.
§23
Xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxxxx xxxxx x rámci xxxxxxxxxxx xxxx, xxxxx součástí xx informační a xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí, xxxxx zajistí
a) xxxxxxx x xxxxxxxx xxxxxxxxxxx xxx x xxxxx xxxxxxxxxxx xxxx a xxxx komunikačními xxxxxx,
x) xxxxxxx x xxxxxxxx xxxxxxxxxxx xxx na xxxxxxxxx xxxxxxxxxxx xxxx x
x) xxxxxxxxx xxxxxxxxx xxxxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx xxxxxxx detekci kybernetických xxxxxxxxxxxxxx xxxxxxxx přiměřeně x xxxxxxx xx xxxxxxxxxx xxxxx v xxxxx
x) koncových xxxxxx,
x) xxxxxxxxx zařízení,
c) serverů,
d) xxxxxxxx xxxxxxx a xxxxxxxxx datových xxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxx x
x) xxxxxxxxx xxxxx.
§24
Xxxx x vyhodnocování xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
Xxxxxxx xxxxx xxxxxxx x §3 písm. x), x) a x) xxxxxx xxxxxxx xxxxxxx xxx sběr a xxxxxxxxxxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx
x) xxxx a xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx §22 a 23,
x) xxxxxxxxxxx x xxxxxxxxxxx souvisejících xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx pro xxxxxx xxxxxxxxxxxx role x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxx xxxxxxxx xxxxxxxx xxxxxxxx bezpečnostních xxxx,
x) xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx
1. vyhodnocování kybernetických xxxxxxxxxxxxxx xxxxxxxx x
2. xxxxxx varování a
f) xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxx xxxx x vyhodnocení kybernetických xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxxx nastavení bezpečnostních xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
§25
Aplikační bezpečnost
(1) Xxxxxxx xxxxx xxxxxxx xxxxxxxxxx xxxxx informačního x xxxxxxxxxxxxx systému xx xxxxxxxxx xx důležitá xxxxxx, x to
a) xxxx xxxxxx uvedením xx provozu x
x) x xxxxxxxxxxx x xxxxxxxxx změnou xxxxx §11 odst. 3.
(2) Xxxxxxx xxxxx dále x xxxxx aplikační xxxxxxxxxxx xxxxxxx trvalou xxxxxxx xxxxxxxx, informací x xxxxxxxxx xxxx
x) xxxxxxxxxxxx činností x
x) xxxxxxxx provedených xxxxxxxx.
§26
Kryptografické xxxxxxxxxx
Xxxxxxx osoba xxx ochranu aktiv xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) používá xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx klíče,
b) xxxxxxx xxxxxx správy xxxxx x xxxxxxxxxxx, xxxxx
1. xxxxxxx xxxxxxxxxx, xxxxxxxxxx, ukládání, xxxxx, xxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxx a
2. xxxxxx xxxxxxxx x xxxxx,
x) xxxxxxxxx bezpečné xxxxxxxxx x xxxxxxxxxxxxxxxx prostředky x
x) xxxxxxxxxx doporučení x xxxxxxx kryptografických xxxxxxxxxx xxxxxx Xxxxxx, xxxxxxxxxx na jeho xxxxxxxxxxxxx stránkách.
§27
Xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx zavede xxxxxxxx xxx zajišťování xxxxxx dostupnosti, kterými xxxxxxx
x) dostupnost informačního x xxxxxxxxxxxxx xxxxxxx xxx xxxxxxx xxxx xxxxx §15,
x) xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxx kybernetickým xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx xxxxx snížit xxxx dostupnost,
c) dostupnost xxxxxxxxxx technických xxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx a
d) xxxxxxxxxx xxxxx xxxxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému.
§28
Průmyslové, xxxxxx x xxxxxxx specifické xxxxxxx
Xxxxxxx xxxxx xxx zajištění xxxxxxxxxxxx bezpečnosti xxxxxxxxxxxx, xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx systémů používá xxxxxxxx x opatření, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxxxx x programových xxxxxxxxxx, které xxxx xxxxxx do specifického xxxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxx x zařízením xxxxxx xxxxxxx a xx xxxxxxxxxxx xxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxx xxxxxx pro xxxx xxxxxxx xx xxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxx x xxxxxx xxxxxxxxxx xxxxxxxx x těmto xxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx systémů xxxx xxxxxxxx známých xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx těchto systémů xx xxxxxxxxxxxxx bezpečnostním xxxxxxxxx.
§29
Xxxxxxxxx xxxxxx
(1) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx podle xxxxxxxxxxx xxxxxxxx Xxxxxx (XX) 2018/151 xx xxx 30. ledna 2018, xxxxxx se xxxxxxx xxxxxxxx pro xxxxxxxxxxx xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Xxxx (EU) 2016/1148, pokud jde x bližší xxxxxxxxx xxxxx, xxxxx musí xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx sítě x xxxxxxxxxx systémy, x xxxxxxxxx xxx xxxxxxxxxx xxxx, xxx xx xxxxx xxxxxxxxx xxxxxxxx; xxxxxxxxxx §3 xx 28 xx xx xxxx povinnou xxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx uvedená x §3 xxxx. x) xxxxxx xxxxx xxxxxxxxx xxxxx podle §34 xxxx. 2.
(3) Xxxxxxx xxxxx uvedená v §3 xxxx. h) xxxxxx hlásí xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §32 xxxx. 2 x 3.
XXXXX III
BEZPEČNOSTNÍ XXXXXXXX X BEZPEČNOSTNÍ XXXXXXXXXXX
§30
Xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
(1) Povinná osoba
a) xxxxxxx bezpečnostní politiku x xxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx x příloze č. 5,
x) xxxxxxxxxx xxxxxxxxxxx bezpečnostní xxxxxxxx a bezpečnostní xxxxxxxxxxx x
x) xxxxxxx, xxx byla xxxxxxxxxxxx xxxxxxxx x bezpečnostní xxxxxxxxxxx xxxxxxxx.
(2) Xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxx být
a) xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxx podobě,
b) xxxxxxxxxxxx x rámci xxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxx stranám,
d) xxxxxx,
x) chráněny x xxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x
x) xxxxxx tak, xxx xxxxxxxxx x nich xxxxxxxx byly úplné, xxxxxxx, snadno xxxxxxxxxxxxxxxxx x xxxxxx xxxxxxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§31
Xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx se xxxxxxxxxxxx podle významnosti xxx xxxxxxxxxx
x) xxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx kritériích, podle xxxxxxx byly povinné xxxxx určeny,
b) xxxxx xxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxx xxxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx a komunikačního xxxxxxx,
x) xxxxxx na xxxxxxxxxxx služby informačního x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx služby xxxxxxxxxxx xxxxxx informačními x xxxxxxxxxxxxx xxxxxxx,
x) xxxxx xxxxxx incidentu,
h) xxxxxxxxxxx rozsahu xxxxxxx xxxxxxx x
x) xxxxxxx xxxxxx.
(2) Xxx xxxxxxx xxxxxxx a xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xx xxxxxxx xxxxxxxxxx xxxxx odstavce 1 xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxxx xxxxxxxxx
x) Kategorie XXX - xxxxx xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx xxxxxx xx xxxxx a xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx řešení xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx s xxx, xx xxxx být xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx dalšímu xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx x potenciálních xxxx,
x) Xxxxxxxxx XX - xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, při xxxxxx xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx neprodlené zásahy xxxxxxx x xxx, xx xxxx xxx xxxxxxxx prostředky zabráněno xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx, xxxx
x) Xxxxxxxxx X - xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx dochází x xxxx xxxxxxxxxx xxxxxxxx bezpečnosti xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx vyžaduje xxxxxx xxxxxxx x xxx, že xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx šíření xxxxxxxxxxxxxx bezpečnostního incidentu xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
(3) Typy kybernetických xxxxxxxxxxxxxx incidentů podle xxxxxx jsou
a) xxxxxxxxxxxx xxxxxxxxxxxx incident způsobující xxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx integrity xxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxx
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxxx dopadů xxxxxxxxx x písmenech x) až c).
(4) Xxxx xxxxxxxxxx xx xxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx.
§32
Forma a náležitosti xxxxxxx kybernetických bezpečnostních xxxxxxxxx
(1) Kybernetický xxxxxxxxxxxx xxxxxxxx xx Xxxxx xxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx na xxxxxxxxxxxxx stránkách Úřadu xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxxx pro příjem xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
x) xx xxxxxx schránky Xxxxx, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xx xxxxxxxxx, xxxxx xxxxx xx xxxxxxxxx xx internetových xxxxxxxxx Xxxxx.
(2) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx provozovateli xxxxxxxxx XXXX xxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx internetových xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx
x) na xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx národního XXXX xxxxxxx pro xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, zveřejněnou na xxxx internetových stránkách,
b) xx xxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxx CERT, xxxx
x) xxxxxxxxxxxxxxx internetových xxxxxxx xxxxxxxxxxxxx národního XXXX.
(3) Xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx xx xxxxx xxxxxx x x listinné podobě, xxxxx pouze v xxxxxxxxx, kdy nelze xxxxxx žádný xx xxxxxxx xxxxxxxxx v xxxxxxxxxx 1 x 2.
(4) Náležitosti hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx
x) xxxxxxxxxxxx odesilatele,
b) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxx x xxx zjištění xxxxxxxxx x
x) popis xxxxxxxxx.
XXXX XXXXXX
XXXXXXXXX OPATŘENÍ X KONTAKTNÍ XXXXX
§33
Xxxxxxxxx xxxxxxxx
(1) Povinná osoba, xxxxx Úřad uložil xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx opatření xx xxxxxxxxxx a xxxxxxxxxxx xxxxxx x xx xxxxxxxx xxxxxxxxxxxx opatření x xxxxxxxxx xxxxx xxxxxxxxx účinky x
x) xxxxxxx způsob xxxxxxxx xxxxxxxxx xxxxxx opatření, xxxxx xxxxxxxxxxxx xxxx xxxxx xxxxxxxxx xxxxxx, x xxxx časový xxxx xxxx provedení.
(2) Xxxxxxx xxxxx, xxxxx Xxxx xxxxxx provést xxxxxxxxx xxxxxxxx, xxxxxx xxxxxx provedení xxxxxxxxxxx xxxxxxxx x jeho xxxxxxxx xx formě xxxxxxx xx internetových xxxxxxxxx Xxxxx.
§34
Xxxxxxxxx xxxxx
(1) Kontaktní xxxxx xx Xxxxx xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxxx xxx příjem xxxxxxxx xxxxxxxxxxx údajů, xxxxxxxxxxx na internetových xxxxxxxxx Xxxxx,
x) do xxxxxx xxxxxxxx Xxxxx, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xx xxxxxxxxx, xxxxx xxxxx xx zveřejněn xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxxxx údaje xx xxxxxxxxxxxxx národního XXXX xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx na xxxxxxxxxxxxx stránkách provozovatele xxxxxxxxx XXXX xxxxxxxx
x) xx xxxxxx elektronické xxxxx provozovatele xxxxxxxxx XXXX xxxxxxx xxx xxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, zveřejněnou na xxxx internetových xxxxxxxxx,
x) xx datové schránky xxxxxxxxxxxxx xxxxxxxxx XXXX, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Xxxxxxx kontaktních xxxxx xx xxxxx xxxxxx x v xxxxxxxx podobě, xxxxx xxxxx x xxxxxxxxx, xxx xxxxx xxxxxx xxxxx xx xxxxxxx xxxxxxxxx x odstavcích 1 a 2.
(4) Xxxx oznámení xxxxxxxxxxx xxxxx xx xxxxxx x příloze č. 8 k xxxx vyhlášce.
(5) Povinná xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx, xxxxx xx provozovatelem, xxxx x xxxxxxx xxxxxxxxxxx xxxxx xxxxx xxxxxxxx 1 přikládá xxxxxxxx, kterým xx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §8 xxxx. 1 xxxx. c).
ČÁST PÁTÁ
ZÁVĚREČNÁ XXXXXXXXXX
§35
Xxxxxxxxx xxxxxxxxxx
(1) X případě xxxxxxxxxxxx systémů kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systémů kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx xxxx xxxxxx xxxxx xxxx xxxxxx účinnosti xxxx xxxxxxxx, x x xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x xxxxxxx došlo x xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx dnem xxxxxx xxxxxxxxx této xxxxxxxx, xx xx xxxxxxx xxxx xxx dne xxxxxx xxxxxxxxx xxxx xxxxxxxx xxx obsah x strukturu xxxxxxxxxxxx xxxxxxxxxxx x xxxxx x xxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx vyhlášky č. 316/2014 Sb., x bezpečnostních xxxxxxxxxx, xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x x xxxxxxxxx náležitostí xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx).
(2) X xxxxxxx informačních xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx a komunikačních xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxx xxxx xxxxxx xxxxx dnem xxxxxx účinnosti xxxx xxxxxxxx, a x xxxxxxx xxxxxxxxxx informačních xxxxxxx, x xxxxxxx xxxxx x naplnění xxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, xx xx jednoho xxxx xxx dne nabytí xxxxxxxxx xxxx vyhlášky xxx způsob xxxxxxxxx xxx, xxxxxxxxxx xxxxx, xxxxxxxxx x jejich xxxxx xxxx xxxxxxxx xxxxxxxxx.
§36
Xxxxxxxxx ustanovení
Zrušuje xx xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx opatřeních, xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentech, reaktivních xxxxxxxxxx x o xxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx bezpečnosti).
§37
Účinnost
Tato vyhláška xxxxxx xxxxxxxxx xxxx vyhlášení.
Ředitel:
Ing. Xxxxxxxx x. x.
Xxxxxxx č. 1 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxx aktiv
(1) Xxx hodnocení xxxxxxxxxxx xxxxx xxxx x xxxxx xxxxxxx použity xxxxxxxx x xxxxxxx xxxxxxxx x xxxxxxxx xx, xxxx dopad xx xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxx. Xxxxxxx xxxxx xxxx xxxxxxxx xxxxxxx xxxxx xxxxxx xxx xxxxxxxxx důležitosti xxxxx, xxx xxxx xx xxxxxx v xxxx příloze, xxxxxx-xx xxxxxxxxxxx vazby mezi xxxx používaným xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx x xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxxx x xxxx xxxxxxx.
(2) Je xxxxxxxxxx, aby si xxxxx xxxxxxx osoba xxxx xxxxxxxx matice xxxxxxxxxxxx xxxx xxxxxxxx.
Xxx. 1: Xxxxxxxx pro xxxxxxxxx důvěrnosti
|
Úroveň |
Popis |
Příklady xxxxxxxxx xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxx xxxx xxxxxxx přístupná xxxx xxxx xxxxxx xx xxxxxxxxxx. Narušení xxxxxxxxxx aktiv xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxx. X případě sdílení xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx a xxxxxxx klasifikace podle xxx. traffic xxxxx xxxxxxxxx (xxxx jen "XXX") je xxxxxxxxx xxxxxxxx XXX:XXXXX. |
Xxxx xxxxxxxxxx xxxxx ochrana. |
|
Xxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxx know-how xxxxxxx osoby, xxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxx předpisem xxxx smluvním ujednáním. V xxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx XXX xx využíváno xxxxxxx xxxxxxxx XXX:XXXXX nebo XXX:XXXXX. |
Xxx xxxxxxx důvěrnosti xxxx xxxxxxxxx prostředky xxx řízení přístupu. |
|
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxxx xxxxxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx (xxxxxxxxx obchodní xxxxxxxxx, osobní xxxxx). X xxxxxxx xxxxxxx takového xxxxxx x třetími xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx TLP xx xxxxxxxxx xxxxxxx xxxxxxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx využívány xxxxxxxxxx, xxxxx xxxxxxx xxxxxx x zaznamenávání xxxxxxxx. Přenosy xxxxxxxxx xxxxxxxxxxx xxxx xxxx xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx nadstandardní xxxx xxxxxxx nad rámec xxxxxxxxx xxxxxxxxx (xxxxxxxxx xxxxxxxxxxx xxxxxxxx tajemství, xxxxxxxx xxxxxxxxx xxxxxxxx xxxxx). X xxxxxxx sdílení xxxxxxxx aktiva s xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx XXX je xxxxxxxxx xxxxxxx xxxxxxxx XXX:XXX xxxx TLP:AMBER. |
Pro xxxxxxx xxxxxxxxxx jsou xxxxxxxxx xxxxxxxxxx, xxxxx zajistí xxxxxx a zaznamenávání xxxxxxxx. Xxxx xxxxxx xxxxxxx zabraňující xxxxxxxx xxxxx xx xxxxxx xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx xxxx xxxxxxxx pomocí xxxxxxxxxxxxxxxx prostředků. |
Xxx. 2: Xxxxxxxx pro xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx požadavků xx ochranu xxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx z xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxx. |
Xxxx vyžadována xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx vyžadovat xxxxxxx x hlediska xxxxxxxxx. Xxxxxxxx integrity xxxxxx xxxx vést x xxxxxxxxx oprávněných xxxxx povinné xxxxx x může xx xxxxxxxx méně xxxxxxxxx xxxxxx na xxxxxxxx xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx xxxxxxxxx standardní xxxxxxxx (například xxxxxxx xxxxxxxxxxxx xxxx xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx vyžaduje ochranu x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx x podstatnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx integrity xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxx dovolují xxxxxxxx xxxxxxxx provedených xxxx a xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxx. Xxxxxxx integrity xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx je xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx z xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx vede k xxxxx xxxxxxx poškození xxxxxxxxxxx zájmů povinné xxxxx x xxxxxxx x velmi xxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx využívány xxxxxxxxx xxxxxxxxxx jednoznačné xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx). |
Xxx. 3: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx důležité x x xxxxxxx xxxxxxx je xxxxx xxxxxxxxxx delší xxxxxx xxxxxx pro xxxxxxx (xxx xx 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx překročit xxxx xxxxxxxxxx xxx, xxxxxxxxxxxxx xxxxxxx xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx a xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx překročit xxxx několika xxxxx. Xxxxxxxx výpadek xx xxxxx řešit neprodleně, xxxxxxx xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx osoby. Xxxxxx xxxx považována xx xxxxx xxxxxxxx. |
Xxx xxxxxxx dostupnosti jsou xxxxxxxxx záložní xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx xxxx xxx xxxxxxxxx xxxxxx obsluhy xxxx xxxxxxx technických xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx přípustné a x xxxxxxxxxx xxxxxxxxxxxx (x xxxx xxxxxxxx xxxxx) xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx. Xxxxxx xxxx xxxxxxxxxx xx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx využívány xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx xx xxxxxxxxxx a xxxxxxxxxxxxxx. |
Xxxxxxx x. 2 x vyhlášce č. 82/2018 Xx.
Xxxxxxxxx rizik
(1) Xxxxxxxxxxx xxxxxxxxx funkce xxx xxxxxx rizika xx xxxxxxxxx xxxxxxxx xxxxxxxx pro xxxxxxxxx xxxxx podle §5.
(2) Xxxxxxx xxxxxx xx xxxxxxxxxx vyjádřena xxxx xxxxxx, xxxxxx ovlivňuje xxxxx, hrozba x xxxxxxxxxxxx.
(3) Pro hodnocení xxxxx lze xxxxxx xxxxxxxxx xxxx xxxxxx:
Xxxxxx = xxxxx x xxxxxx x xxxxxxxxxxxx.
(4) Xxxxx xx x xxxxx xxxxxxx xxxxxxx x hodnocení xxxxx xxxxx přílohy č. 1.
(5) X xxxxxxx, xx xxxxxxx xxxxx xxxxxxx xxxxxx xxx xxxxxxxxx rizik, xxxxx nerozlišuje xxxxxxxxx xxxxxx a xxxxxxxxxxxxx, xx xxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx stupnic xx xxxxxx xxxx xx xxxxxx schopnosti rozlišení xxxxxx hrozby a xxxxxxxxxxxxx. Za xxxxx xxxxxx lze xxxxxx xxxxxxxxx komentář, který xxxxxxxx xxxxxxx xxx xxxxxx xxxxxx, xxx x xxxxxx zranitelnosti. Xxxxxxx se xxxxxxxxx x x xxxxxxxxx, xxx xxxxxxx osoba xxxxxxx jiný počet xxxxxx xxx xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxxxxxxx x xxxxx.
Xxx. 1: Xxxxxxxx xxx xxxxxxxxx xxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx nebo xx xxxx xxxxxxxxxxxxx. |
|
Střední |
Hrozba xx xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx xx velmi xxxxxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. |
Xxx. 2: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx nebo je xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Jsou zavedena xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxx včas xxxxxxxxx xxxxx zranitelnosti xxxx xxxxxxxx pokusy x xxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx je xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, jejichž xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx bezpečnostních opatření xxxx xxxxxxxxx možné xxxxxxxxxxxxx nebo xxxxxxxx xxxxxx o xxxxxxxxx xxxxxxxx xx omezena. Xxxxxx xxxxx xxxxx xxxxxxx pokusy x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx jsou xxxxxxxx, xxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx aspekty a xxxx pravidelně kontrolována. Xxxx xxxxx xxxxx xxxxxxx pokusy x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx velmi xxxxxxxxxxxxx xx xxxxxxxx xxxxx. Bezpečnostní opatření xxxxxx realizována nebo xx xxxxxx xxxxxxxx xxxxxx xxxxxxx. Xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Jsou xxxxx xxxxxxx xxxxxx překonání xxxxxxxxxxxxxx opatření. |
Tab. 3: Xxxxxxxx xxx xxxxxxxxx xxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx xx akceptovatelné. |
|
Střední |
Riziko xxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxx x xxxxxxx vyšší xxxxxxxxxx xxxxxxxx je xxxxxx xxxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxx xxxxxxxxxxx x xxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxx x xxxx odstranění. |
|
Kritické |
Riziko xx xxxxxxxxxxx x xxxx xxx xxxxxxxxxx xxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
Příloha č. 3 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxxxxxx a xxxxxx
Xxxxxxxxxx: Tato příloha xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxxx x xxxxxx. Xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx x xxxxxx xx xxxxxxxxxxxx povinné xxxxx.
Xxxxxxxxxxxxx
1. nedostatečná xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
2. xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
3. xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx,
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
5. xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
6. nevhodné xxxxxxxxx xxxxxxxxxxxx oprávnění,
7. xxxxxxxxxxxx xxxxxxx xxx identifikování x odhalení xxxxxxxxxxx xxxxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí a xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx,
8. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxxx odhalit xxxxxx xxxxxxxx nebo xxxxxxx xxxxxxx xxxxxxx,
9. xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxx xxxxxxxxxxxxx vymezení xxxx x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx,
10. nedostatečná xxxxxxx xxxxx,
11. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,
12. nedostatečná míra xxxxxxxxx xxxxxxxx,
13. xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxxx.
Xxxxxx
1. xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx xx xxxxxx uživatelů a xxxxxxxxxxxxxx,
2. xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx anebo xxxxxxxxxxxx xxxxxxxx,
3. zneužití xxxxxxxx,
4. užívání xxxxxxxxxxxx xxxxxxxx x rozporu x licenčními podmínkami,
5. xxxxxxxx kód (xxxxxxxxx xxxx, spyware, trojské xxxx),
6. xxxxxxxx xxxxxxx xxxxxxxxxxx,
7. přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx dodávek elektrické xxxxxxx,
8. xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxx xxxxx,
9. xxxxxx, xxxxxxxx xxxx xxxxxxxxx xxxxxx,
10. nedodržení xxxxxxxxx xxxxxxx ze xxxxxx dodavatele,
11. pochybení xx xxxxxx zaměstnanců,
12. xxxxxxxx xxxxxxxxx prostředků, xxxxxxx,
13. xxxxxxxxxx přerušení xxxxxxxxxxx služeb elektronických xxxxxxxxxx, xxxxxxx xxxxxxxxxx xxxxxxx xxxx jiných xxxxxxxxxx xxxxxx,
14. xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxx úrovní,
15. xxxxxx xxxxxxxxxxxx útok xxxxxx xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxx,
16. zneužití xxxxxxxxxxxxx technických xxxxxx xxx,
17. xxxxxxxx elektronické xxxxxxxxxx (odposlech, modifikace).
Xxxxxxx x. 4 x xxxxxxxx č. 82/2018 Xx.
Xxxxxxxxx xxx
(1) Xxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx x xxxxxxxxxx způsobů xxxxxx dat x xxxxxxx xxxxxxxxx technických xxxxxx xxxxxxxxx, xxxxxxxxxx xxxxx, informací x xxxxxx xxxxx.
(2) Xxxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx si xxxxxxx pravidla xxx xxxxxx xxx x xxxxxxxxx xxxxxxxxxxx nosičů xxx x souladu x xxxxx xxxxxxxx. Xxx xxxxxx xxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx. Xx xxxxx zvolit adekvátní xxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxx adekvátních xxxxxxxx xxx mazání xxx x xxxxxxxxx technických xxxxxx dat, xxxxxxxx x xxxxxxx x xxxxxxxxxxx xxxxx.
(3) Xxxxxxxx xxx likvidaci xxx xx xxxx být xxxxxxxxx xxxxxxxxx xxxxxxx x důležitosti xxxxx x xxxx xx xxxxxxx xxxxxxxxxxx
x) xxxxxxx xxxxxx (xxxxxxx x xxxxxxx xxxxxxxxxx),
x) technologii (xxxx x xxxxxxxx xxxxxx xxxxxxxxx),
x) zda xx xxxxx xxxxxxxxx xxxxxxx xxx kontrolou xxxxxxxxxx xx xxxxxxx,
x) xxx xxxx xxxx xxxxxxxx xxxxxxxxxxxx nebo xxxxxxxxxxxxxxx xxxxxxxxx,
x) xxx xxxx likvidaci dat xxxxxxxx (xxxxxxx xxxxxxxxxxx, xxxx dodavatel),
f) xxxxxxxxxx xxxxxxxx x xxxxxxxx xxx likvidaci,
g) xxxxxxxx xxxxxxxxxxxxx xxxxxx,
x) zda xx x xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxxx x xxxxxxx xx xxxxxxxx, xxxxxxx, xxxxxxxx, xxxxxxxx využití xxxxxx informace
k) xxxxx xxxxxxx likvidace dat (xxxxxxxxx zničením xxxxxx, xxxxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxx, xxxxxxxxxxxxx xxx xxxxxx xxxxxxxxxx x xxxxxxx),
x) xxxxxxxxxx způsoby xxxxxxxxx xxx xxxxxxxx xx xxxxx xxxxxx xxxxxxxxx (xxxxxxxxx při xxxxxxxxx zařízení xxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxx xxxxxxxxx, xxx xxxxxxx xx xxxxxxx xxxxxxx likvidace).
(4) Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx, provozních údajů, xxxxxxxxx x jejich xxxxx:
x) Odstranění
1. Xxxxxx xxxxxxxxx xxxxxxx v xxxxxxxxxx dat xxx, xxx xxxx pro xxxxxx nedostupná (xxxxxxxxx xxxxxxxxxx datového souboru, xxxxxxxx tištěného xxxxxxxxx xx xxxxxx).
2. Xxx x nejméně bezpečný xxxxxx xxxxxxxxx xxx. X případě získání xxxxxx xxxxxxxxx je xxxxx x vynaložením xxxxxxxx xxxxx xxxxxxxxx xxxxxxx.
3. Tato xxxxxx xxxx xxxxxxxxxx xxx xxxxxx digitálních xxx xxxxxxxxxxxx opětovný xxxxx.
4. Xxxxxxxxxx xxxxxx pro xxxxxx důvěrnosti xxxxxx (xxxxxxx z přílohy č. 1): xxxxx.
x) Xxxxxxxx
1. Xxxxxx xxxxxxxxx xxxxxxx v xxxxxxxx chráněné xxxxxxxxx xxxxxxxxxx hodnotami.
2. Xxx x xxxxxxx xxxxxxxx xxxxxx likvidace xxx. Xxxxx dostupné nástroje xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx.
3. Xxxxxxxx xxxx xxx xxxxxxxxx nebo xxxxxxxxxxx xxxxxxxxx likvidací xxxxxxxxxxxxxxxx klíčů k xxxxxxxxxxx xxxxxxxxx.
4. Xxxx xxxxxx xxxx xxxxxx xxx xxxxxxxxx xxxxx, xxxxx neumožňující xxxxxxxx xxxxx, xxxxxxxx pro xxxxx s xxxxxx xxxxxxxxx.
5. Použitelný způsob xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx z přílohy č. 1): xxxxx až xxxxxxxx.
x) Fyzická xxxxxxxxx xxxxxx xxxxxxxxx
1. Xxxxxx xxxxxxxxx xxxxxxxxxxx ve xxxxxxx nosiče xxxxxxxxx, xxxxxxxxx x xxxxxxxxx xxxxxxxx a xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx (xxxxxxxxxxx, xxxxxxxxx či xxxxxxxx působením).
2. Xxx x xxxxxxxxxxxxxx metodu xxxxxxxxx xxx. Xxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxx nelze znovu xxxxxx xxx původní xxxx. Xxxxxxx xxxxxxxxx xxxx xxxxx obnovit xxx xxx xxxxxxxxxx xxxxxxx množství prostředků x xxxxx.
3. Xxxxxxxxxx xxxxxx xxxxxxxxx pro xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): xxxxxxx xx xxxxxxxx.
Xxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1)
|
Xxxxxxxxx xxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxxx xxxxxx |
|||||
|
Xxxxx xxxxxxxxx |
1. Xxxxx |
2. Xxxxxxx |
3. Vysoká |
4. Xxxxxxxx |
|
|
Xxxxxxxxx xx xxxxxx čitelném xxxxxx (tištěné xxxxxxxxx, xxxxxxxx x xxxxxxx) |
Xxxxxxxxxx: Xxxxxxxx xx odpadu. |
Přepsání: Xxxxxxxxx. |
Xxxxxxx xxxxxxxxx: |
||
|
Fyzická xxxxxxxxx: |
|||||
|
Xxxxxxx xxxxxxxx (mobilní telefony, xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxx xxxxxxxx (xxxxxx, xxxxxx, xxxxx x xxxxxxx) |
Xxxxxxxxxx: |
Přepsání: |
|||
|
Xxxxxxxxxxx xxxxxxxx (xxxxxxx, xxxxxxxx, xxx) |
|||||
|
Xxxxxxxxxx xxxxx (xxxxxxxxxx xxxxx, xxxxx, XXX [Xxxx Xxxx Drive]) |
Odstranění: |
Xxxxxxxx: |
|||
|
Xxxxxxx xxxxx (XX, XXX, XX-XXX, BLU-RAY) |
Fyzická xxxxxxxxx: |
||||
|
Xxxxxxx xxxxxxxxx. |
|||||
|
Xxxxxxxxxxxx xxxxx (flash xxxxxx) |
|||||
|
Xxxxxxxxxxx a xxxxx |
Xxxxxxxxx xxxxxx xxxxxxxxx xxx xx měl být xxxxxxxx smluvním xxxxxxxxx. |
||||
|
Xxxxxxxxxx: |
Xxxxxxxx: |
Přepsání: |
Přepsání/fyzická xxxxxxxxx: |
||
|
Xxxxxxxxxxxx v xxxxxxx xxxxxxxxxxxx paměťového xxxxx xx xxxxx xxxx xx xxxxxxxx xxxxxx xxxxxxx. |
|||||
Příloha x. 5 x xxxxxxxx x. 82/2018 Xx.
Xxxxx bezpečnostní xxxxxxxx x bezpečnostní xxxxxxxxxxx
1. Xxxxxxxxxxxx politika
1.1. Xxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx
x) Cíle, xxxxxxxx a xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla a xxxxxxx xxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxx a provozu xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
1.2. Xxxxxxxx řízení xxxxx
x) Xxxxxxxxxxxx, hodnocení x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x evidence xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx určení xxxxxx xxxxxxx,
2. xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx důvěrnosti, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxxxxxxx, xxxxxxxxx a xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x evidence xxxxxxxxxxxx xxxxxxxxxx aktiv včetně xxxxxx xxxxxx xxxxxxx,
2. xxxxxx xxxxx xxxx xxxxxxxxxx x podpůrnými xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx
1. xxxxxxx rozlišování xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx xxxxx xxxxx xxxxxx aktiv,
3. xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxxx xxxxxx xxxx xxxxxx technických xxxxxx dat, xxxxxxxxx, xxxxxxxxxx xxxxx x xxxxxx kopií.
1.3. Politika xxxxxxxxxxx bezpečnosti
a) Xxxxxx xxxxxxxxxxxxxx xxxx a xxxxxx práv x xxxxxxxxxx.
x) Xxxxxxxxx na xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx bezpečnostních x xxxxxxxxxx xxxx.
1.4. Politika xxxxxx xxxxxxxxxx
x) Xxxxxxxx x xxxxxxxx xxx xxxxx xxxxxxxxxx.
x) Pravidla xxx xxxxxxxxx rizik xxxxxxxxxxxxx x dodavateli.
c) Xxxxxxxxxxx xxxxxxx o xxxxxx služeb x xxxxxxx a xxxxxx xxxxxxxxx bezpečnostních xxxxxxxx x o xxxxxx xxxxxxxx smluvní odpovědnosti.
d) Xxxxxxxx pro provádění xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx.
1.5. Politika xxxxxxxxxxx lidských xxxxxx
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxx xxxxxxxxx
1. způsoby x xxxxx xxxxxxx xxxxxxxxx,
2. xxxxxxx x xxxxx xxxxxxx xxxxxxx xxxxx,
3. xxxxxxx x xxxxx poučení xxxxxxxxxxxxxx,
4. xxxxxxx x formy xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Bezpečnostní xxxxxxx xxxxxx zaměstnanců.
c) Xxxxxxxx xxx xxxxxx xxxxxxx porušení bezpečnostní xxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx pracovního xxxxxx nebo xxxxx xxxxxxxx xxxxxx
1. xxxxxxx xxxxxxxxx xxxxx a xxxxxxxx xxxx xxx xxxxxxxx pracovního xxxxxx,
2. xxxxx xxxxxxxxxxxx oprávnění xxx xxxxx pracovní xxxxxx.
1.6. Xxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxx
x) Xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx.
x) Postupy xxxxxxxxxx xxxxxxx.
x) Požadavky a xxxxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxx a omezení xxx provádění xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxx testů.
1.7. Xxxxxxxx xxxxxx xxxxxxxx
x) Princip xxxxxxxxxxx oprávnění/potřeba xxxx (xxxx to xxxx).
x) Xxxxxxxxx xx xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxx přístupu.
d) Řízení xxxxxxxxxxxxxxx oprávnění.
e) Řízení xxxxxxxx xxx xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx přezkoumání xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx jednotlivých xxxxxxxxx x přístupových skupinách.
1.8. Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxx
x) Pravidla pro xxxxxxxx nakládání x xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx x xxxxxxxx na xxxxxxxx.
x) Bezpečný xxxxxxxx xxxxxxx.
x) Xxxxxxxx xxxxxxx xx xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx xx xxxxxx x mobilním xxxxxxxxx.
1.9. Xxxxxxxx xxxxxxxxxx x xxxxxx x dlouhodobého xxxxxxxx
x) Xxxxxxxxx xx xxxxxxxxxx a obnovu.
b) Xxxxxxxx a xxxxxxx xxxxxxxxxx.
x) Pravidla x xxxxxxx dlouhodobého ukládání.
d) Xxxxxxxx xxxxxxxxxx zálohování x dlouhodobého xxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxxxxx.
x) Xxxxxxxx x postupy xxxxxxxxx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx přístupu x xxxxxxx, ukládaným xxxxxxxxxx.
1.10. Xxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxx informací
a) Xxxxxxxx x xxxxxxx xxx ochranu xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx ochrany xxxxxxxxxxxx xxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx ochrany.
1.11. Xxxxxxxx xxxxxx technických xxxxxxxxxxxxx
x) Xxxxxxxx pro omezení xxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x postupy xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx oprav xxxxxxxxxxxx vybavení.
d) Pravidla x xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx vybavení.
1.12. Xxxxxxxx bezpečného xxxxxxxxx xxxxxxxxx xxxxxxxx
x) Xxxxxxxx x xxxxxxx pro xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx xxx zajištění xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx xxxxx xxxx xx xxx xxxxxx.
1.13. Xxxxxxxx xxxxxxxx, vývoje x údržby
a) Xxxxxxxxxxxx xxxxxxxxx pro xxxxxxxx, xxxxx x xxxxxx.
x) Xxxxxx xxxxxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxx programového xxxxxxxx x xxxxxxxxx
1. pravidla x postupy xxxxxxxx xxxxxxxxxxxx vybavení x xxxx xxxxxxxx,
2. pravidla x xxxxxxx pro xxxxxxxx dodržování xxxxxxxxxx xxxxxxxx.
1.14. Xxxxxxxx xxxxxxx xxxxxxxx xxxxx
x) Charakteristika xxxxxxxxxxxxxx xxxxxxxx xxxxx.
x) Xxxxx přijatých x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
x) Xxxxx přijatých x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxx xxxxx.
1.15. Xxxxxxxx xxxxxxx bezpečnosti
a) Xxxxxxxx xxx xxxxxxx xxxxxxx.
x) Xxxxxxxx pro xxxxxxxx xxxxxx osob.
c) Pravidla xxx xxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxx fyzické xxxxxxxxxxx.
1.16. Politika bezpečnosti xxxxxxxxxxx xxxx
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx bezpečnosti xxxx.
x) Xxxxxx xxxx x xxxxxxxxxx xx bezpečný xxxxxx xxxx.
x) Pravidla x postupy xxx xxxxxx xxxxxxxx v xxxxx sítě.
d) Xxxxxxxx x xxxxxxx pro xxxxxxx vzdáleného xxxxxxxx x xxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.
1.17. Xxxxxxxx ochrany xxxx xxxxxxxxx kódem
a) Xxxxxxxx x xxxxxxx xxx xxxxxxx síťové komunikace.
b) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxx.
1.18. Politika xxxxxxxx a používání xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxx a postupy xxxxxxxx xxxxxxxx xxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Provozní postupy xxx vyhodnocování x xxxxxxxxx xx detekované xxxxxxxxxxxx bezpečnostní xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx optimalizaci nastavení xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
1.19. Xxxxxxxx xxxxxxx x xxxxxx xxxxxxxx xxx xxxx a vyhodnocení xxxxxxxxxxxxxx bezpečnostních událostí
a) Xxxxxxxx x xxxxxxx xxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
c) Xxxxxxxx x postupy xxx xxxxxxxxx nastavení xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxx xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
1.20. Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx ochrany
a) Xxxxxx xxxxxxx x xxxxxxx xx typ x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx kryptografické xxxxxxx xxxxxxxxx
1. xxx xxxxxxx po xxxxxxxxxxxxx xxxxxx,
2. xxx xxxxxxx xx mobilní zařízení xxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxx.
x) Xxxxxx xxxxxx klíčů.
1.21. Xxxxxxxx xxxxxx změn
a) Způsob x principy xxxxxx xxxxxxxxxx xxxx x xxxxx xxxxxxx xxxxx, xxxxxx xxxxxxxxx, xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxxxxxxx xxxxxx xxxxxxxxxx xxxx.
x) Xxxxxx vedení xxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxx.
1.22. Xxxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxxx kategorií xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x postupy xxx identifikaci, xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx testování xxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxx zlepšování xxxxxxxxxxxx bezpečnosti.
e) Xxxxxxxx xxxxxxxxx.
1.23. Politika řízení xxxxxxxxxx xxxxxxxx
x) Práva x xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxx xxxxxx xxxxxxxxxx činností
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx,
2. xxxx xxxxxxxx chodu,
3. xxx obnovení dat.
c) Xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxx xxxxxxxxxx.
x) Způsoby xxxxxxxxx dopadů xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxx xxxxx.
x) Xxxxxx x obsah potřebných xxxxx xxxxxxxxxx a xxxxxxxxxxx xxxxx.
x) Postupy xxx realizaci opatření xxxxxxxx Xxxxxx.
2. Obsah xxxxxxxxxxxx xxxxxxxxxxx
2.1. Zpráva x auditu kybernetické xxxxxxxxxxx
x) Xxxx auditu xxxxxxxxxxxx bezpečnosti.
b) Xxxxxxx xxxxxx kybernetické bezpečnosti.
c) Xxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx týmu xxxxxxxx x xxxx, xxxxx xx auditu xxxxxxxxxxxx bezpečnosti xxxxxxxxxx.
x) Xxxxx x xxxxx, xxx xxxx xxxxxxxxx xxxxxxxx při xxxxxx xxxxxxxxxxxx bezpečnosti.
f) Zjištění x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
2.2. Xxxxxx x xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxxxx opatření x xxxxxxxxxxx přezkoumání xxxxxxx xxxxxx bezpečnosti informací.
b) Xxxxxxxxxxxx změn a xxxxxxxxx, xxxxx xxxxx xxx xxxx na xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Zpětná xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x xxxxxxxx xxxxxxxx,
2. xxxxxxxx monitorování a xxxxxx,
3. xxxxxxxx auditu,
4. xxxxxxxx cílů systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx hodnocení xxxxx x xxxx plánu xxxxxxxx xxxxx.
x) Identifikace xxxxxxxx xxx neustálé xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
2.3. Xxxxxxxx pro xxxxxxxxxxxx x hodnocení xxxxx x xxx xxxxxxxxx xxxxx
x) Určení xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx xxxxx
1. určení stupnice xxx xxxxxxxxx úrovní xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxx,
3. xxxxxx xxxxxxxx pro xxxxxxxxx úrovní dostupnosti xxxxx.
x) Xxxxxx xxxxxxxx xxx hodnocení rizik
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
2. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxxx,
3. xxxxxx stupnice xxx xxxxxxxxx xxxxxx zranitelnosti,
4. xxxxxx stupnice xxx xxxxxxxxx úrovní xxxxx.
x) Xxxxxx x přístupy xxx xxxxxxxx rizik.
d) Xxxxxxx xxxxxxxxxxx akceptovatelných xxxxx.
2.4. Xxxxxx o xxxxxxxxx xxxxx x xxxxx
x) Přehled xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx aktiv,
2. xxxxxx xxxxxxx primárních xxxxx,
3. xxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx.
x) Přehled xxxxxxxxxx xxxxx
1. identifikace x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx garantů podpůrných xxxxx,
3. určení xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
x) Hodnocení xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx xx aktiva,
2. xxxxxxxxx xxxxxxxxxxxx hrozeb,
3. xxxxxxxxx existujících zranitelností, xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
4. xxxxxxxxx xxxxxx rizika, xxxxxxxxx xxxx xxxxxx x xxxxxxxx xxx xxxxxxxxxxxxxxxx rizik,
5. určení x schválení xxxxxxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxx
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. návrh xxxxxxxx x xxxxxx xxxxxxxxx.
2.5. Xxxxxxxxxx x xxxxxxxxxxxxxxxx
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx požadovaných touto xxxxxxxxx xxxxxx xxxxxxxxxx, xxxx nebyla xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx bezpečnostních xxxxxxxx xxxxxx xxxxxxx xxxxxx implementace.
2.6. Plán xxxxxxxx xxxxx
x) Obsah x xxxx vybraných xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx xxxxxx xxxxx xx konkrétní xxxxxx.
x) Potřebné xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxxxx xxxxxxxxxx bezpečnostní xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxx hodnocení xxxxxxxxxx xxxxxxxx jednotlivých xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
2.7. Xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxx, administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxx x xxxxxxx poučení nových xxxxxxxxxxx.
x) Xxxxxxxx, které xxxxxxxx předmět jednotlivých xxxxxxx x xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxxxx xxxxx.
2.8. Xxxxxxxx xxxx
x) Evidence xxxxxxxxx xxxxx xxxxxxxxxx xxxx.
x) Xxxxxxx o xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx.
2.9. Xxxxxxx xxxxxxxxx xxxxx
Xxxxxxx xxxxxxxxx kontaktních xxxxx.
2.10. Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx předpisů a xxxxxx předpisů a xxxxxxxxx xxxxxxx
x) Xxxxxxx xxxxxx závazných xxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx.
x) Přehled xxxxxxxxx xxxxxxx.
2.11. Další doporučená xxxxxxxxxxx
x) Topologie xxxxxxxxxxxxxx.
x) Xxxxxxx síťových xxxxxxxx.
Příloha č. 6 x xxxxxxxx x. 82/2018 Xx.
Xxxxx xxx xxxxxx kybernetické xxxxxxxxxxx x xxxxxxxxxxxx xxxx
Xxxx xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxx pro xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx role xxxxxxx x §6 a 7.
Xxx. 1: Výbor xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxxx xxxxxx x rozvoj xxxxxxxxxxxx xxxxxxxxxxx x xxxxx xxxxxxx xxxxx. |
|
Xxxxx xxxxxxxx: |
x) Xxxx xxxxxx pro xxxxxx kybernetické bezpečnosti xxxx xxx alespoň |
Xxx. 2: Xxxxxxx xxxxxxxxxxxx bezpečnosti
|
Role: |
Manažer xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx řízení xxxxxxx xxxxxx bezpečnosti informací. |
|
Xxxxxxxx: |
x) Xxxxx xxxx ISO/IEC 27000 x xxxxxxx xxxxx x xxxxxxx xxxxxxxxxxx a ICT. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx. |
|
Xxxxxxxx x praxe: |
a) Xxxxxxx 3 xxxx xxxxx x xxxxx xxxxxxxxxx nebo kybernetické xxxxxxxxxxx, xxxx |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Security Xxxxxxx (CISM), Xxxxxxxxx xx Xxxx and Xxxxxxxxxxx Systems Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Xxxxxxxx Xxxxxxxxxxxx (XXXXX), Xxxxxxx XX (xxxxxxxxxxx schéma ČIA). |
|
Další xxxxxxxx: |
x) Role xxxx xxxxxxxxxx x rolemi xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x s xxxxxxx xxxxxxxxxx či xxxxxxxx rolemi. |
Xxx. 3: Xxxxxxxxx kybernetické xxxxxxxxxxx
|
Xxxx: |
Xxxxxxxxx kybernetické xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx za xxxxx implementace xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxxx xxxxxxxxxxxx x komunikačních systémů x její navrhování. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxxx implementace bezpečnostních xxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 roky xxxxx x xxxxx xxxxxxxxxx xxxx kybernetické xxxxxxxxxxx, xxxx |
|
Relevantní xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxx Xxxxxx (XXX), CompTIA Xxxxxxxx +, Xxxxxxxxx Xxxxxxxxxxx Xxxxxxxx Xxxxxxx (CISM), Xxxxxxxxx xx Xxxx xxx Information Xxxxxxx Xxxxxxx (CRISC), Certified Xxxxxxxxxxx Systems Xxxxxxxx Xxxxxxxxxxxx (CISSP), Manažer XX (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
Xxxx xxxx xxxxxxxxxx x rolemi xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx x komunikačních xxxxxxx. |
Xxx. 4: Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx činnosti: |
Provádění auditu xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx: |
x) Metodologie x xxxxx auditu xxxxxxxxxx bezpečnosti. |
|
Zkušenosti: |
a) Xxxxxxxxx xxxxxx informační xxxx xxxxxxxxxxxx bezpečnosti. |
|
Xxxxxxxx a xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx v xxxxxxx xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx bezpečnosti, nebo |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXX), Xxxxxxxxx Internal Xxxxxxx (XXX), Certified xx Risk and Xxxxxxxxxxx Xxxxxxx Control (XXXXX), Xxxx Xxxxxxx Xxxxxxxxxxx Xxxxxxxx Xxxxxxxxxx Xxxxxx (Xxxx Xxxxxxx XXXX), Auditor XX (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
x) Xxxx xxxx xxxxxxxxxx x xxxxxx |
Xxx. 5: Xxxxxx aktiva
|
Role: |
Garant xxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx za xxxxxxxxx rozvoje, xxxxxxx x xxxxxxxxxxx aktiva. |
|
Xxxxxxxx: |
x) Dobrá xxxxxxx xxxxxx, xxxxx xx xxxxxxxx. |
* Xxxxxxxxxxx může xxx x xxxx než xxxxxxx, jestliže xxxxxxxxxxx xxxxxxxxxxx odbornou způsobilost xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx XXX 17 024.
Xxxxxxx x. 7 x xxxxxxxx x. 82/2018 Xx.
Xxxxxx xxxxxxxxxx - xxxxxxxxxxxx opatření xxx xxxxxxx vztahy
Obsah xxxxxxx uzavírané x xxxxxxxxxx xxxxxxxxxx:
x) ustanovení x xxxxxxxxxxx informací (x xxxxxxx důvěrnosti, xxxxxxxxxxx x xxxxxxxxx),
x) xxxxxxxxxx x oprávnění xxxxxx data,
c) ustanovení x autorství xxxxxxxxxxxx xxxx, xxxxxxxxx o xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x kontrole a xxxxxx xxxxxxxxxx (xxxxxxxx xxxxxxxxxxxx xxxxxx),
x) ustanovení xxxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxx xxxx xxx xxxxxxxxx, xx xxxxxxxxxxxxx xx xxxxxx dodržovat x xxxxx rozsahu xxxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxxxx x xxxxxxx x xxxxxxx x xxxxxxxxx xxxxxxx xxxxx xx xxxxxxxxxx,
x) ustanovení x xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx politiky povinné xxxxx xxxx xxxxxxxxxx x odsouhlasení bezpečnostních xxxxxxx dodavatele xxxxxxxx xxxxxx,
x) ustanovení o xxxxxx změn,
h) xxxxxxxxxx x souladu xxxxx x xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx,
x) ustanovení x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx povinnou xxxxx x
1. xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx x xxxxxxx smlouvy,
2. xxxxxxx xxxxxx xxxxx xx xxxxxx xxxxxxxxxx a x xxxxxxxxxx rizicích xxxxxxxxxxxxx x xxxxxxx xxxxxxx,
3. významné xxxxx xxxxxxxx tohoto xxxxxxxxxx xxxxx xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxx xxxxx xxxxxxxxxxx zásadních xxxxx, popřípadě změně xxxxxxxxx xxxxxxxx x xxxxxx xxxxxx, xxxxxxxxxxx xxxxx dodavatelem x xxxxxx xxxxx smlouvy xx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx z xxxxxxx xxxxxxxxxxx při ukončení xxxxxxx (například xxxxxxxxx xxxxxx xxx xxxxxxxx xxxxxxxxxx, xxx je xxxxx ještě xxxxxxxx xxxxxx xxxx xxxxxxxxx xxxxxx řešení, xxxxxxx xxx a xxxxxxx),
x) xxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxx xxxxxxxx x xxxxxxxxxxx s xxxxxxxxxx (xxxxxxxxx zahrnutí xxxxxxxxxx xx xxxxxxxxxxx xxxxx, úkoly xxxxxxxxxx xxx aktivaci xxxxxx xxxxxxxxxx xxxxxxxx),
x) xxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxx xxx, xxxxxxxxxx xxxxx x xxxxxxxxx xx xxxxxxxx xxxxxxxx,
x) xxxxxxxx xxx xxxxxxxxx xxx,
x) xxxxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxx v xxxxxxx významné změny xxxxxxxx xxx dodavatelem xxxx změny xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxx smlouvy x
x) xxxxxxxxxx o xxxxxxxx xx porušení xxxxxxxxxx.
Xxxxxxx x. 8 x vyhlášce x. 82/2018 Sb.
Vzor Xxxxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxx
Xxxxxxxxx
Xxxxxx xxxxxxx x. 82/2018 Sb. nabyl xxxxxxxxx xxxx 28.5.2018.
Ke xxx xxxxxxxx xxxxxx xxxxxxx xxxxx xxxxx xx xxxxxxxxx.
Xxxxx jednotlivých xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx xx jich xxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
1) Xxxxxxxx Evropského xxxxxxxxxx x Xxxx (XX) 2016/1148 xx xxx 6. xxxxxxxx 2016 x opatřeních x xxxxxxxxx vysoké xxxxxxxx xxxxxx xxxxxxxxxxx xxxx x xxxxxxxxxxxx xxxxxxx v Xxxx.